DFN-CERT-2014-0454 Mehrere Schwachstellen in Oracle Java SE, Java SE Embedded, JRockit und JavaFX ermöglichen Ausführung beliebiger Befehle [Linux][Solaris][Windows]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Java FX 2.2.51
Oracle Java SE 5.0u61
Oracle Java SE 6u71
Oracle Java SE 7u51
Oracle Java SE 8
Oracle Java SE Embedded 7u51
Oracle JRockit r27.8.1
Oracle JRockit r28.3.1

Betroffene Plattformen:

Apple Mac OS X
GNU/Linux
Microsoft Windows
Oracle Solaris

Mit dem April 2014 Patch Day hat Oracle 37 Sicherheitslücken in Java SE,
Java SE Embedded, JRockit und JavaFX geschlossen, 35 davon sind ohne
Authentifizierung durch beliebige Angreifer im Internet ausnutzbar. Die
möglichen Auswirkungen sind sehr unterschiedlich und reichen bis hin zu
Ausführung beliebiger Befehle mit erweiterten Privilegien.

Patch:

Oracle Advisory für April 2014

http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html

CVE-2014-2428: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Deployment. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-2422: Schwachstelle in Oracle Java SE und JavaFX

Oracle Java SE und JavaFX enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente JavaFX. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-2421: Schwachstelle in Oracle Java SE, Java SE Embedded und JavaFX

Oracle Java SE, Java SE Embedded und JavaFX enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente 2D. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-2420: Schwachstelle in Oracle Java SE und Java SE Embedded

CVE-2014-2413: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Libraries. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Integrität teilweise zu
beeinträchtigen.

CVE-2014-2412 CVE-2014-0451 CVE-2014-0458 CVE-2014-2423 CVE-2014-0452
CVE-2014-2414 CVE-2014-0446 CVE-2014-2427: Schwachstelle in Oracle Java SE
und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten acht nicht näher beschriebene
Schwachstellen in den Komponenten AWT, JAX-WS, JAXB, Libraries, Security und
Sound. Diese ermöglichen einem entfernten, nicht authentifizierten Angreifer
die Vertraulichkeit, die Integrität und die Verfügbarkeit jeweils teilweise
zu beeinträchtigen.

CVE-2014-2410 CVE-2014-2397 CVE-2014-0432 CVE-2014-0455 CVE-2014-0461:
Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten mehrere nicht näher
beschriebene Schwachstellen in den Komponenten Hotspot, JavaFX und
Libraries. Diese ermöglichen einem entfernten, nicht authentifizierten
Angreifer die Vertraulichkeit, die Integrität und die Verfügbarkeit
vollständig zu beeinträchtigen. Dabei ist von der Schwachstelle
CVE-2014-2410 ausschließlich Java SE 8 betroffen und Java SE 6u71 ist nur
von der Schwachstelle CVE-2014-0461 betroffen.

CVE-2014-2409: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Deployment. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und die
Integrität jeweils teilweise zu beeinträchtigen.

CVE-2014-2402: Schwachstelle in Oracle Java SE und Java SE Embedded

CVE-2014-2398: Schwachstelle in Oracle Java SE, JRockit und JavaFX

Oracle Java SE, JRockit und JavaFX enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Javadoc. Diese ermöglicht einem entfernten,
authentifizierten Angreifer die Integrität teilweise zu beeinträchtigen.

CVE-2014-1876: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Libraries. Diese ermöglicht
einem lokalen, nicht authentifizierten Angreifer die Integrität und die
Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-0460: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente JNDI. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und die
Integrität jeweils teilweise zu beeinträchtigen.

CVE-2014-0459: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente 2D. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2014-0457: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Libraries. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-0456: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Hotspot. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-0454: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Security. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-0453: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Security. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und
die Integrität jeweils teilweise zu beeinträchtigen.

CVE-2014-0448: Schwachstelle in Oracle Java SE

Oracle Java SE enthält eine nicht näher beschriebene Schwachstelle in der
Komponente Deployment. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Vertraulichkeit, die Integrität und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-0429: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente 2D. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-6629 CVE-2014-0449 CVE-2014-2403 CVE-2014-2401 CVE-2014-0463
CVE-2014-0464: Schwachstelle in Oracle Java SE, Java SE Embedded und JavaFX

Oracle Java SE, Java SE Embedded und JavaFX enthalten mehrere nicht näher
beschriebene Schwachstelle in den Komponenten AWT, Deployment, JAXP, 2D und
Scripting. Diese ermöglichen einem entfernten, nicht authentifizierten
Angreifer die Vertraulichkeit teilweise zu beeinträchtigen.

CVE-2013-6954: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente AWT. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Verfügbarkeit teilweise zu
beeinträchtigen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0454/

Schwachstelle CVE-2013-6629 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6629

Schwachstelle CVE-2013-6954 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6954

Schwachstelle CVE-2014-1876 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1876

Oracle Advisory für April 2014:
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html

Schwachstelle CVE-2014-0429 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0429

Schwachstelle CVE-2014-0457 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0457

Schwachstelle CVE-2014-0456 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0456

Schwachstelle CVE-2014-2421 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2421

Schwachstelle CVE-2014-2410 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2410

Schwachstelle CVE-2014-2397 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2397